Por que devo me preocupar com ataques Ransomware?
Desde o surgimento do Wannacry, em 2017, o tema ransomware sempre esteve presente nas pautas dos executivos em organizações de todos os segmentos e tamanhos. E em 2023, acredito que não seja diferente. De acordo com um estudo da Sophos, 66% das organizações pesquisadas foram vítimas de ataques de ransomware em 2021.
Para termos uma ideia desse aumento, em 2020 esse percentual foi de 37%. E com o surgimento de novas variantes de ransomware e do Ransomware-as-a-Service, a tendência é que esse percentual só aumente. Na prática, isso significa uma maior capacidade de escalar o desenvolvimento deste tipo de malware, uma vez que não é necessário ter conhecimentos de programação para desenvolver um ransomware.
O mesmo estudo da Sophos indica que no último ano, 57% das organizações perceberam um aumento na quantidade de ataques cibernéticos e 59% experimentaram uma maior complexidade nesses ataques. Além disso, 53% das organizações pesquisadas notaram um aumento no impacto desses ataques cibernéticos.
Uma das consequências disso foi uma taxa maior de sucesso dos atacantes maliciosos em criptografar os dados das suas vítimas. Enquanto em 2020 essa taxa era de 54%, no estudo do ano seguinte, esse percentual chegou a 65% de sucesso nos ataques desta natureza. Os custos associados a ataques de ransomware também são altos.
Segundo a Cybersecurity Ventures, até 2031, ransomwares custarão mais de USD 265 bilhões às organizações.
Esses fatores também tornam o trabalho de detecção e resposta a incidentes de ransomware ainda mais difícil para os times de segurança. Além disso, a CheckPoint elegeu o ransomware como a ameaça número um às organizações. Isso se deve principalmente ao impacto que esse tipo de ataque traz aos negócios. Imagine sua organização tendo todos os seus dados criptografados, e que você como responsável pela segurança não preparou nenhum plano de contingência para recuperação do ambiente, incluindo aí políticas de backup definidas e devidamente testadas. A meu ver, se esse for o seu caso, não há muito o que fazer. Inclusive porque, mesmo que você considere pagar o resgate pelos seus dados (o que eu não recomendo), a chance de recuperá-los integralmente é muito pequena.
A pesquisa da Sophos indica que 46% das organizações afetadas por ransomwares realizaram o pagamento dos resgates exigidos pelos criminosos, porém apenas 4% conseguiram recuperar totalmente seus dados. Adicionalmente, quase um terço das organizações não conseguiram recuperar nem metade dos seus dados criptografados. Devemos considerar também o risco de vazamento de dados, principalmente aqueles considerados sensíveis, além de dados pessoais.
E não adianta contratar um seguro cibernético para transferência dos riscos ligados ao ransomware. Para assumirem esse risco, as seguradoras com certeza irão avaliar o seu ambiente e impor a implantação de uma série de mecanismos de segurança, incluindo aí a definição de políticas robustas de backup e de Planos de Recuperação de Incidentes. Vale lembrar que esses planos devem levar em consideração a avaliação de riscos organizacionais e o apetite ao risco da empresa, além da própria estratégia do negócio.
Recomendados pelo LinkedIn
Além disso, os próprios governos estão considerando os novos riscos de negócios introduzidos pelos ataques de ransomware.
O Gartner estima que, até 2025, 30% dos países terão alguma legislação específica sobre ransomware.
Para termos uma ideia, em 2021, esse percentual não chegava a 1%. Isso sem contar as pesadas sanções das leis de proteção de dados. No caso da lei de proteção de dados europeia, uma organização que sofre um ataque cibernético que leve a um vazamento de dados de residentes na Europa está sujeita às sanções previstas na GDPR. Isso significa estarem sujeitas a sanções que podem chegar a 20 milhões de euros ou 4% do seu faturamento. Já no caso da California Consumer Privacy Act (CCPA), as sanções chegam a USD 7.500 por cada violação intencional.
Os esforços para mitigar os riscos associados a ataques de ransomware inclui a implantação de políticas, processos e procedimentos. Essas políticas devem englobar a definição e verificação periódica de políticas de backup para recuperação dos dados em caso de infecção. Além disso, os times de Segurança devem implementar políticas de Gestão de Vulnerabilidades, com o objetivo de endereçar falhas que podem ser exploradas nas tentativas de executar ataques cibernéticos.
A prevenção de ataques de ransomware também passa pela adoção do Zero Trust nas organizações. Isso significa a implementação de estratégias baseadas na verificação contínua da identidade do usuário, utilizando abordagens como o Princípio do Privilégio Mínimo. Isso significa na prática ter total visibilidade de onde os acessos são realizados e por quem. Essas estratégias incluem adquirir e implantar tecnologias como Endpoint Detection and Response (EDR), Privileged Elevation and Delegation Management (PEDM), Intrusion Prevention System (IPS) e Network Traffic Analysis (NTA).
Finalmente, acredito que o caminho para evitar e combater ataques envolvendo ransomware deve passar pelo aspecto “pessoas”. Isso quer dizer investir na conscientização dos seus funcionários e terceiros para identificar ataques de engenharia social e phishing, que são o vetor de ataque preferido dos atacantes cibernéticos. Os líderes de segurança também devem investir na formação dos seus times para operar as ferramentas adquiridas e executar os processos definidos anteriormente.
A questão não é se, mas quando uma organização será vítima de um ataque cibernético. E o impacto trazido por um ataque de ransomware é considerável: ter seus dados criptografados e ser incapaz de recuperá-los pode fazer qualquer empresa simplesmente ter de fechar as suas portas. Desta forma, os líderes de segurança devem se preocupar em definir políticas e processos, além de implementar soluções específicas de segurança para mitigar os efeitos de ataques de ransomware.
Além disso, investir na conscientização cibernética e no treinamento do time de Segurança para responder a ataques de ransomware impacta diretamente nos eventuais efeitos que esse tipo de ataque tem para as organizações. Desta maneira é possível garantir o menor tempo de recuperação do ambiente, além de assegurar a continuidade dos negócios.